トップページunix
1001コメント328KB

SSH その4

■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。NGNG
SSHに関する情報交換のスレッドです。
FAQ、リンク集は >>2-5 あたり。

過去ログ
 Part1:http://pc.2ch.net/unix/kako/976/976497035.html
 Part2:http://pc.2ch.net/test/read.cgi/unix/1028157825/ (dat落ち)
  春山さんのとこ→ http://www.unixuser.org/%7Eharuyama/security/openssh/dat/pc.2ch.net_80__unix_dat_1028157825.html
 Part3:http://pc5.2ch.net/test/read.cgi/unix/1058202104/
0002名無しさん@お腹いっぱい。NGNG
よくある質問

Q.公開鍵認証などは使用せず、パスワードによる認証を行う場合でも
 そのパスワードは暗号化されているのですか?
A.はい、その通りです。
 SSHプロトコルでは、まず始めにサーバ<->クライアント間で
 暗号化された通信路を確立します。
 ユーザ認証はその暗号化通信路の上で行なわれるので、
 パスワードなどもちゃんと秘匿されています。

Q.最近、root,test,admin,guest,userなどのユーザ名で
 ログインを試みる輩がいるのですが?
A.sshdにアタックするツールが出回っているようです。
 各サイトのポリシーに従って、適切な制限をかけましょう。
 参考:http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/connect24h/2004.08/msg00030.html
0003名無しさん@お腹いっぱい。NGNG
◇実装
本家ssh.com
 http://www.ssh.com/ / http://www.jp.ssh.com/ (日本語)
OpenSSH
 http://www.openssh.com/ / http://www.openssh.com/ja/ (日本語)
 OpenSSH情報:http://www.unixuser.org/~haruyama/security/openssh/
 日本語マニュアル:http://www.unixuser.org/~euske/doc/openssh/jman/
 OpenSSH-HOWTO:http://www.momonga-linux.org/docs/OpenSSH-HOWTO/ja/index.html

TeraTerm/TTSSH
 http://hp.vector.co.jp/authors/VA002416/
 http://www.zip.com.au/~roca/ttssh.html / http://www.sakurachan.org/soft/teraterm-j/ttssh/ (日本語版)
 http://sleep.mat-yan.jp/~yutaka/windows/ (Yutaka氏によるUTF-8対応版,SSH2対応版)
PuTTY
 http://www.chiark.greenend.org.uk/~sgtatham/putty/
 http://hp.vector.co.jp/authors/VA024651/ (hdk氏による日本語パッチ)
 http://yebisuya.dip.jp/Software/PuTTY/ (蛭子屋氏による各種パッチ)
VeraTerm
 http://www.routrek.co.jp/product/varaterm/
MacSSH/SFTP
 http://pro.wanadoo.fr/chombier/
PortForwarder
 http://www.fuji-climb.org/pf/JP/
TRAMP
 http://www.nongnu.org/tramp/tramp_ja.html
0004名無しさん@お腹いっぱい。NGNG
◇規格等
IETF secsh
 http://www.ietf.org/html.charters/secsh-charter.html
WideのSSH解説
 http://www.soi.wide.ad.jp/class/20000009/slides/12/


◇おまけ
Theoのキチガイぶり
 http://pc.2ch.net/test/read.cgi/unix/1023635938/546-550
djbsssh(ネタ)
 http://www.qmail.org/djbsssh/
0005名無しさん@お腹いっぱい。NGNG
ssh
0006名無しさん@お腹いっぱい。NGNG
TheOpenBSD
0007名無しさん@お腹いっぱい。NGNG
ssh のログの設定ってどこでやるの?
0008名無しさん@お腹いっぱい。NGNG
>>7
sshd_config にあるべ?
0009名無しさん@お腹いっぱい。NGNG
ないよ・・ うーむ すいません 初心者です;;
0010名無しさん@お腹いっぱい。NGNG
これがMacOS Xの元になったOpenBSDを主宰するテヲの作ったSSHってやつですか。
0011名無しさん@お腹いっぱい。NGNG
  ∩___∩        |
   | ノ\    ヽ       |
  /  ●゛  ● |       |
  | ∪  ( _●_) ミ      j
 彡、   |∪|   |      J
/    ∩ノ⊃ ヽ
( \ /_ノ |  |
.\ “  /__|  |
  \/___/
0012名無しさん@お腹いっぱい。NGNG
ありがとう ありました。
scp と sftpのログの設定はどこでやるんだろう
すいません もうちょっと探してみまする

0013名無しさん@お腹いっぱい。NGNG
"djbsssh"
sが一個多いのは何故?
0014名無しさん@お腹いっぱい。NGNG
djb's ssh ってことじゃない?
0015名無しさん@お腹いっぱい。NGNG
Secure SSH
0016名無しさん@お腹いっぱい。NGNG
>12
しらん。
0017名無しさん@お腹いっぱい。NGNG
ない acインストールするとか・
0018名無しさん@お腹いっぱい。NGNG
>>15
わろた
いい皮肉だ
0019名無しさん@お腹いっぱい。NGNG
SSHv1って、IDEAか何かにセキュリティホールあるんだっけ?
0020名無しさん@お腹いっぱい。NGNG
オレ、オレ
0021名無しさん@お腹いっぱい。NGNG
振込め、振込め
0022名無しさん@お腹いっぱい。NGNG
Yutaka氏版って、ssh2で鍵認証できないの?
うまくいかないよ〜
0023名無しさん@お腹いっぱい。NGNG
keygen でのデフォルトの鍵長(1024 bits ?)は、(SSH 開発当初よりは速くなった)
今日の CPU でも安全といえるものなのでしょうか?
0024名無しさん@お腹いっぱい。NGNG
アルカイダの構成員なら2048bitにしたほうがイー!
0025名無しさん@お腹いっぱい。NGNG
>>23
今日のCPUでも平気。
SSH開発当初からCPUの速度は1000倍くらいにはなったが、
これをbit数に直すと10bit程度でしかない。
ブルース・シュナイアーが書いてた目安が参考になるだろう。
http://www.schneier.com/crypto-gram-0204.html
0026名無しさん@お腹いっぱい。NGNG
ブルートフォースな攻撃法であれば、の話だけどな
002723NGNG
こんなの見つけますた。

ttp://www.rsasecurity.com/rsalabs/node.asp?id=2004

>>24
政府関係機関なので 4096bit を目指します(ウソ
実際のとこ、いまどきの Intel 系 CPU なら、4096 bit の鍵生成の時間も、
まぁ我慢出来なくはない範囲です。

>>25-26
予め素数表を作成しておく攻撃だとどうでしょう?
0028名無しさん@お腹いっぱい。NGNG
>>27
> 予め素数表を作成しておく攻撃だとどうでしょう?
無理。
表がどのくらいの大きさになるか、素数定理を使って計算してみな。
0029名無しさん@お腹いっぱい。NGNG
素数表を作成って力任せそのものじゃん
0030名無しさん@お腹いっぱい。NGNG
scp でリモートにファイルをコピーできますけど、
scp でそのリモートのファイルを削除する、ってできるでしょうか?
0031名無しさん@お腹いっぱい。NGNG
scp - secure copy (remote file copy program)ですから。
0032名無しさん@お腹いっぱい。NGNG
ssh user@host rm file ぢゃだめなのか?
0033名無しさん@お腹いっぱい。NGNG
>>32
なるほど、そうですね。それでいけそうです。
あと、 sftp で rm するという手もありそうです。
0034名無しさん@お腹いっぱい。NGNG
>22
公開鍵認証は 2.07f で対応します。
今晩リリースする予定です。
0035名無しさん@お腹いっぱい。NGNG
>>34
たしかに出来ました!
0036名無しさん@お腹いっぱい。NGNG
教えて!
http://05xx.sub.jp/ttssh/
0037名無しさん@お腹いっぱい。NGNG
>>36
何を"教えて"なのでしょう?
SSH対応のTeraTermならUTF-8対応版を使うという方法もありますよ。
ttp://www.vector.co.jp/soft/winnt/net/se320973.html
0038名無しさん@お腹いっぱい。NGNG
Mac用みたいなのはしらないですか?
0039名無しさん@お腹いっぱい。NGNG
MacSSH?
0040名無しさん@お腹いっぱい。NGNG
>>38
"Mac用みたいな"というのは、下記のどちらの意図でしょう?

"MacSSHのような雰囲気のWindows版SSHクライアント"ということなら、
TeraTermとかPuTTYじゃだめでしょうか?

"MacOS版のSSHクライアント"ということで、MacOS 9ならMacSSH、
MacOS Xなら標準のsshコマンドをTerminal内で使うとか。
あ、標準のsshコマンドだと、日本語が文字化けするんでしたっけ?
0041初期不良NGNG
OSX のターミナルでエンコードを選べば化けないっすよ。
UTF-8 でも EUC でも OK。
0042名無しさん@お腹いっぱい。NGNG
JellyfiSSH+Terminal で十分かもかも。
0043名無しさん@お腹いっぱい。NGNG
openssh
0044名無しさん@お腹いっぱい。NGNG
あけましておめでとうございます。
pageantを使っているのですが、記憶させたパスフレーズを忘れさせるにはどうしたらいいのでしょう?
0045名無しさん@お腹いっぱい。NGNG
ぺーじあんと? 頁蟻?
0046名無しさん@お腹いっぱい。NGNG
>>45
PuTTYのpagent.exeのことでしょうね。

>>44
下記のページにあるように、Add Keyで削除もできませんか?
ttp://osksn2.hep.sci.osaka-u.ac.jp/~naga/miscellaneous/winsshb2.html#Anchor-%20%20-9834
0047名無しさん@お腹いっぱい。NGNG
>>46
pagent ではなくて pageant が正しいです
0048名無しさん@お腹いっぱい。NGNG
>>46
それはRemoveKeyで削除することを言ってますか?
登録したキーを削除するのじゃなくて、キーを登録するときに入力するパスフレーズを記憶してくれる機能があるのですが、そのパスフレーズを忘れた状態に戻したいのです。
ごった煮版特有の機能なのかしらん?
0049名無しさん@お腹いっぱい。NGNG
>>47
うわー、すみません。打ち間違えました。(-_-)

>>48
良く分かってないのに口を出してすみません。
0050名無しさん@お腹いっぱい。NGNG
>>48
ごった煮版だけの機能
putty.ini使ってるなら
[Passphrases]セクションにあるけどね。

レジストリに設定保存してる場合は知らん
0051名無しさん@お腹いっぱい。NGNG
>> 50
あーやっぱそうでしたか。
iniファイル使う方法はしらないけどレジストリにエントリはみつけました。
pageantじゃなくてputtyのレジストリに書かれてたのね。
ざっくり消してさっぱり解決。
どうもありがとです。

しかし毎回の鍵の追加のときに記録したパスフレーズのどれか一つでもマッチすると認証されてしまうんだけどそんなもん?
0052名無しさん@お腹いっぱい。NGNG
初心者なのですが,助けて頂けますでしょうか?
当方,AstecX+TTSSHでX画面を転送させていたのですが,
先日からログイン先がSSH2に切り替わりました.現在
SSH2対応のTeraTermに替えて同様にXを飛ばそうとして
いるのですがうまくいきません.
何かアドバイスをお願いします.
0053名無しさん@お腹いっぱい。NGNG
>>52
TeraTermにこだわらないのであればPuTTYを試してみるとか。
うちはSSH2でXをPuTTYで飛ばせてるよ。
0054名無しさん@お腹いっぱい。NGNG
しまった。日本語がグダグダだ。意味はわかるよね(汗
005552NGNG
>>53
ありがとうございます。上手く行ったようです。
0056名無しさん@お腹いっぱい。05/01/29 23:55:37
ターミナルエミュレータごとにssh-addのパスワードを入れるのが
めんどうなんですが,
一回いれたら,他のターミナルエミュレータでは
パスワード要らなくする方法ありますか?

確か,どっかのサイトで昔見たのですが,
忘れてしまって(^^;;)
0057名無しさん@お腹いっぱい。05/01/30 00:17:30
>>56
keychain とか?
0058名無しさん@お腹いっぱい。05/01/30 01:37:58
そうです!
この記事
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
を探していたんです!
助かりました.m(_ _)m
0059名無しさん@お腹いっぱい。05/01/30 03:43:48
>>58
でもその記事うそ多くない?
0060名無しさん@お腹いっぱい。05/01/30 04:15:38
ssh-agent?
0061名無しさん@お腹いっぱい。05/01/30 04:52:52
WinSCP ヴァージョンナップ sage
00625705/01/30 11:13:17
>>58
そうそう。それです。私もこれで知って SolarisとかFreeBSDとかMacOSXですが
ずっと使ってます。便利ですよね。

>>59
うそ っていうとどこら辺が うそ ぽいんでしょう?

大体そういうアーティクルって自分の環境に合わせて適当に
解釈しながら読むので うそ ってあんまり気づかなかったりしてしまう...
00635805/01/30 11:54:44
keychainなんですが,.bash_profileに書くのが
http://www-6.ibm.com/jp/developerworks/linux/011130/j_l-keyc2.html
では
source ~/.ssh-agent
となっていたが,sshの度に秘密鍵用のパスフレーズを聞かれて失敗
http://www.atmarkit.co.jp/bbs/phpBB/viewtopic.php?topic=15857&forum=10&2
の通り
source ~/.keychain/現在のマシン名-sh
とやったら成功しました.


cygwinで使っているんですが,終了処理も
/usr/bin/keychain -k
を.bash_logoutに追加すると,
cygwinのウィンドを一個でも終了したら
keychainの効果が消えてしまう.
かといって,.bash_logoutに書かないと,
開始時にパスフレーズを入力した
cygwinのウィンドが終了できないで,
logout
と出たまま止まる.

解決方法はありませんか?
0064名無しさん@お腹いっぱい。05/02/02 11:24:15
うちの大学のメールサーバは SSH でいったん接続して
トンネルの中でしか POP 通せないようになっているので、
毎回メールチェックのたびに PuTTY などで接続しているのですが、
あまりにも面倒です。

SSH でポートフォワーディングしてくれるダミーのダイアルアップ
接続用ドライバってありませんかね。

もぐらプロジェクトのモノがそれっぽいかな、とおもったんですが、
SSH 接続後にその上で PPP によるリンク成立を試みるので、
すぐに失敗、切断してしまいます。
http://www.kmc.gr.jp/proj/vpn/
0065名無しさん@お腹いっぱい。05/02/02 20:05:00
plink使えばいいじゃん
0066名無しさん@お腹いっぱい。05/02/02 23:03:35
>63
順に、
keychain --help する。
パスフレーズなしの鍵を使う。
ck 使う or sshd 経由にする。
0067名無しさん@お腹いっぱい。05/02/04 18:35:33
keychain なんだけど

ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"

このコマンドラインだと

KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL

* Found existing ssh-agent (1654)

で終わっちゃってパスフレーズを聞かれないんだけどそーゆーもん?
2回 keychain 呼んでやればちゃんと聞いてくれるんだけど…。

% ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa;keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa"

KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL

* Found existing ssh-agent (1654)


KeyChain 2.5.1; http://www.gentoo.org/proj/en/keychain/
Copyright 2002-2004 Gentoo Foundation; Distributed under the GPL

* Found existing ssh-agent (1654)
* Adding 2 ssh key(s)...
Enter passphrase for /home/mona/.ssh/id_rsa:
0068名無しさん@お腹いっぱい。05/02/08 23:04:55
>67
なにしてるの?
0069名無しさん@お腹いっぱい。05/02/08 23:31:58
>>68
目的は一発で「リモートに ssh した時に ssh-agent を設定した上で screen
を立ち上げる」ってことなんすけどね。で、

ssh REMOTE_HOST sh -c "keychain \$HOME/.ssh/id_rsa \$HOME/.ssh/id_dsa; . \$HOME/.keychain/\$(uname -n)-sh; exec screen"

こうやってみたら何故かパスフレーズを聞かれない、と。
どっか間違ってるっけ?
0070名無しさん@お腹いっぱい。05/02/09 00:55:27
>>69
UNIX の sh だと $(〜) は使えなかったりするね。
0071名無しさん@お腹いっぱい。05/02/09 01:04:39
えええっ?
少なくとも最近はそんなのはあまり転がってないと思うけど。
0072名無しさん@お腹いっぱい。05/02/10 02:21:05
>69
keychain --help すれ。
パスフレーズなしの鍵を使うのは?

ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
で動くと思うけど、
keychain は .cshrc とかに書く。

# REMOTE_HOST に ssh してわざわざ sh -c する?
# ろぐいんして HOME じゃないの?

あと exec screen でなくて、見たり (-ls) だとか
アタッチ (-r) だとかするのもスクリプトに
しといたほうがいいのでは?
0073名無しさん@お腹いっぱい。05/02/10 19:56:29
>>72
> ssh -t REMOTE_HOST "〜" で端末にすれば 67 は 1 回?
> で動くと思うけど、
thx! いけたよ。実は -t は付けてたんだけど、気付いてみりゃ ssh なのにわ
ざわざ sh -c することはないわな(;´Д`)

以下は余談。
> あと exec screen でなくて、見たり (-ls) だとか
> アタッチ (-r) だとかするのもスクリプトに
> しといたほうがいいのでは?
アドバイスさんきゅー。実際は -xRR 付けてるので大丈夫。
0074名無しさん@お腹いっぱい。NGNG
Debian Linux + OpenSSHを使っています。

SSHDに一般ユーザーがログインしたとき、自分のホームディレクトリ
(/home/***/)より上の階層にいけないようにするにはどうすればいいでしょうか。

また、指定したコマンドを利用出来なくするにはどうすればいいでしょうか。
0075名無しさん@お腹いっぱい。05/02/12 23:10:31
chrootssh
■ このスレッドは過去ログ倉庫に格納されています